CryLocker: il ransomware che ti geolocalizza!

8.000 infezioni in meno 2 settimane, le prime manifestazioni risalgono all’inizio del mese e come ogni versione di cryptomalware ha le sue particolarità.

Sembra ancora in fase di sviluppo perché sono state osservate più versioni, per ora CryLocker affligge (solamente) i sistemi Windows ed è in grado di cifrare circa 600 formati di file, possiamo affermare che nessuno resta escluso.

Secondo alcuni dati pubblicati da Trend Micro tramite il Sole 24 Ore grazie all’arresto di circa 50 cybercriminali l’utilizzo dell’exploit kit Angler è diminuito tantissimo, al suo posto ne sono nati altri come Rig e Sundown ed è proprio tramite questi che viene diffuso CryLocker.

L’infezione parte dal solito malvertising, pubblicità malevola nella quale ogni click conduce verso la pagina in cui risiede l’exploit kit.

Per questo come nel caso di CryptXXX e a differenza di altri come CTB Locker, Cryptowall o Cryptolocker, non siamo in presenza (per ora) di una campagna di phishing ma l’infezione parte direttamente dalla navigazione su una pagina web compromessa. Questa nel momento in cui viene visualizzata esegue delle istruzioni che scaricano e installano il malware di cifratura senza la necessità di conferme da parte dell’utente. Questo è il compito di Sundown.

CryLocker entra quindi in esecuzione, inizia a raccogliere informazioni sul PC quali la versione di Windows, il tipo di CPU, il service pack installato, computer name e user name, allo scopo di spedirli a circa 4.000 indirizzi IP tra i quali si cela quello del server C&C, la regia di tutto lo spettacolo.

Questa comunicazione avviene via UDP e probabilmente serve per offuscarne la location, è la stessa modalità utilizzata da un altro ransomware suo predecessore che si chiamava Cerber.

Parallelamente è iniziata la cifratura di tutti i file che da quel momento avranno estensione .cry e vengono sparse le solite istruzioni per pagamento del riscatto perché siano facilmente reperibili.

La lista dei file cifrati viene organizzata in un file immagine .png e caricata in un album sul portale di immagini Igmur, questo risponde assegnando un nome file univoco e quindi viene mandato anch’esso ai 4.000 IP per comunicare al C&C che la vittima è stata cifrata con successo.

Durante questo processo vengono anche cancellate le shadows copies ovvero i file di backup complessivi in grado di ripristinare la macchina nella sua totalità, sia come applicazioni che come dati, inoltre viene creato l’immancabile task di persistenza del malware, in modo tale che se arrestiamo il sistema durante la cifratura questa riparta al successivo riavvio.

La singolarità di Crylocker è che geolocalizza le vittime dell’infezione, nelle versioni analizzate fino ad oggi si è solo osservata la raccolta di questo dato ma non si è ancora manifestato il modo in cui intendono utilizzarlo, l’ipotesi più accreditata è che vogliano inserire la mappa con l’indicazione della posizione della vittima all’interno della schermata del riscatto, per incutere timore e stimolare il pagamento, dato che si è osservata una progressiva diminuzione dei tentativi di versamento.

Per fare questo il malware tramite l'API di Google Maps accede al database di reti wireless raccolto grazie ai rilevamenti delle Google Car e cerca le reti WiFi che vengono rilevate dal PC infetto, in questo modo è semplice capirne la posizione approssimativa.

E poi oltre al danno la beffa … il versamento viene effettuato attraverso un sito “Onion” tramite il browser Tor, in modo tale che la transazione non sia tracciabile e in questa fase viene simulato l’intervento di un fantomatico organo governativo che si propone, a pagamento, di dare supporto per la decodifica dei file.

Si fa chiamare Central Security Treatment Organization (CSTO).

Concludendo, non tutti i ransomware arrivano tramite la posta elettronica ci sono quelli come CryLocker e CryptXXX che sono diffusi tramite migliaia di pagine web malevole che utilizzano gli exploit kit.

Per questo l’antivirus anche se non è infallibile è sempre obbligatorio perché è la linea di difesa comune ai due tipi di attacco, mentre:

• Se siamo in presenza di phishing servono antispam evoluti
• Se siamo in presenza di exploit kit serve IPS e patching applicativo

Non potendo mai sapere quale arriverà … dobbiamo stare pronti!

A questo scopo scarica la nostra Checklist per la prevenzione delle infezione da Ransomware, un elenco di aspetti utili per aumentare il grado di protezione della tua rete.